這是dns綁架還是HTTP綁架?

fer

fer
個人積分：25分
文章編號：62186818

25分

樓主

2016-10-28 14:26

最近在網頁右下角有時會出現這種VR廣告
圖片不一定
但都是有vr頭盔
而且這廣告還會跨網頁出現
不是只在一個網頁出現
這是dns綁架還是HTTP綁架?

我是發現只要把dns server手動設成8.8.8.8 就沒問題了
但若用isp的default dns server 61.216.76.9
當問題要發生前(不是一開機上網就會發生, 也不是所有網頁都會發生)
隨便要上某個網站
它就會很慢, 一直找不到網站的樣子
然後狀態列會看到連去14.1.96.50這裡
然後過會開始顯示正常網站網頁
但原始碼內被嵌入script src='http://14.1.96.50:5188/dev.min.js' 下圖776行這語法
導致網頁右下角會出現VR廣告
這是dns綁架還是HTTP綁架?

如果我用tracert.exe www.mobile01.com 發現它查到的ip居然是default dns server 61.216.76.9
這是dns綁架還是HTTP綁架?

若正常時用tracert.exe www.mobile01.com 查到的ip應是 202.39.235.195
這是dns綁架還是HTTP綁架?

一直找不到問題在哪?
毒也掃過, 也沒裝新軟體, 也沒上奇怪的網站
也沒裝擴充套件, 也檢查過msconfig,
工作管理員也沒有奇怪的.exe檔
作業系統是用deep freeze冷凍的,
每次開機都會還原.
modem跟ip分享器也都全重插電
清瀏覽器cache 拒cookie tracker都沒用
然後我用2台電腦也都一樣狀況
瀏覽器firefox/chrome也一樣

google了一下
若是isp的dns綁架
似乎大陸才會有這種手法
有人知道這問題應該怎麼解嗎?
我用的是bb寛頻(cablemodem)

謝謝!

2016-10-28 14:26 發佈

文章關鍵字 DNS

阿德Sky

阿德Sky
個人積分：533分
文章編號：62189558

533分

2樓

2016-10-28 18:10

你的問題，答案不是你找出來了嗎~~~
一般來說，以你狀況是，當DNS給予錯誤的解析位址時，當然路徑就會往錯誤方向走
所以要嘛手動設定，要嘛就找出給與錯誤DNS的裝置
你能做的就檢查一下分享器或者小烏龜設定是否有動過
排除你家設定的問題，另外你也說了，你也用還原軟體去保護系統
還有你有檢查過host有被改過嗎??整個區網內DNS都解析到錯誤的位址嗎??

雙巴大神

雙巴大神
個人積分：74分
文章編號：62189669

74分

3樓

2016-10-28 18:22

有以下可能

01.你作業系統中毒，然後HOST檔被修改

02.你的路由器還是交換器有中毒，被放入設定

03.DNS請改設成168.95.192.1及168.95.1.1

04.不要用IE，你IE應該是有中一些插件，會動態修改網頁

不查看，不處理及不回覆任何私人訊息，私訊一律砍掉(包括01管理員的文章刪除通知，這哪是私人訊息?)

fer

fer
個人積分：25分
文章編號：62190513

25分

樓主

2016-10-28 20:10

多謝樓上2位大大解答!
Hosts檔ok, 內只有127.0.0.1

後來我把ip分享器reset
連線原來dns server顯示是61.216.76.9 跟 59.124.90.150

reset後dns server顯示是192.168.1.1

然後就沒再出現廣告問題了
所以我想是我的ip分享器內被人寫入dns server = 61.216.76.9 跟 59.124.90.150 ??
因為我是直接reset
所以沒法確定是否被動手腳

不過想請問2個問題:
a. 所以正常用ip分享器且自動取得defalt dns server,
連線應該顯示的dns server是192.168.1.1嗎?

b. ip分享器內的ram不是電拔掉就清掉了?
惡意程式要改設定, 它用什麼去燒rom?

jettakimo

jettakimo
個人積分：1257分
文章編號：62193468

1257分

5樓

2016-10-29 1:37

慘了,我的dns server 也是有兩個,這是中毒嗎???
我是中華,小烏龜直播,

正腐助大家吃萊豬，配核食，用心涼苦。>>>>>>>>> 大馬女子來台讀書被姦殺，讓全世界看見台灣。

fer

fer
個人積分：25分
文章編號：62193613

25分

樓主

2016-10-29 2:09

你看看你的區域連線-->內容-->Internet Protocol(TCP/IP)-->內容-->看dns是選自動取得還是有自己打數字
就知道是自動還是手動設定的了
180那個不知, 不過8.8.8.8是google dns server應該是沒問題的

再來就是打192.168.1.1(見它說明書), 進ip分享器的設定裡
看有沒有被設定dns server address.

有沒問題平常在用就感覺的出來了
要就是變慢了
連不上網站
或出現奇怪的東西

雙巴大神

雙巴大神
個人積分：74分
文章編號：62194698

74分

7樓

2016-10-29 9:03

fer wrote:
多謝樓上2位大大解...(恕刪)

建議你換一台分享器，或是修改成超複雜的密碼
不過還是前者較好，有可能分享器有漏洞謝謝指教

192.168.1.1是分享器的DHCP SERVER

這樣看起來是99.9%的機率被入侵了

不查看，不處理及不回覆任何私人訊息，私訊一律砍掉(包括01管理員的文章刪除通知，這哪是私人訊息?)

阿德Sky

阿德Sky
個人積分：533分
文章編號：62194730

533分

8樓

2016-10-29 9:08

180.76.76......這組經Whois查詢是百度的
有可能被偷改了，建議檢查一下設定與host

fer wrote:
不過想請問2個問題:
a. 所以正常用ip分享器且自動取得defalt dns server,
連線應該顯示的dns server是192.168.1.1嗎?

b. ip分享器內的ram不是電拔掉就清掉了?
惡意程式要改設定, 它用什麼去燒rom?

A.你電腦取得的DNS資訊是你分享器配給你的設定
分享器給192.168.1.1就是由他來幫你轉查詢DNS
B.ip分享器存資料不是靠RAM，所以就算你斷電重開，裡面的資料並不會不見
ip分享器的韌體才是需要燒ROM，設定檔是靠其他方式儲存，所以還是有機會被植入病毒

fer

fer
個人積分：25分
文章編號：62194849

25分

樓主

2016-10-29 9:24

再次謝謝2位大大回答!!

-------------------

lordkon

lordkon
個人積分：28080分
文章編號：62196315

28080分

10樓

2016-10-29 12:04

fer wrote:
再次謝謝2位大大回...(恕刪)

自從用了 Adblock Plus
啥垃圾廣告在也看不到了